Un desarrollador de software francés acusado de instalar backdoors en 12 millones de ordenadores

Share this…

Toda precaución es poca cuando descargas software de Internet. Los usuarios con más conocimientos lo tienen claro, pero aquellos a los que les falta algo de experiencia todavía son víctimas fáciles del malware.

Sin ir más lejos, la compañía Cisco, a través de su rama especializada en seguridad Talos, ha publicado un exhaustivo estudio donde apunta al desarrollador de software francés Tuto4PC como creador y responsable de la instalación de backdoors en 12 millones de ordenadores repartidos por países de todo el mundo, entre ellos España.

El documento publicado en el blog de Cisco Talos,extenso y muy detallado, explica punto por punto la investigación llevada a cabo a raíz de una alerta por el sospechoso crecimiento de resultados de “troyanos genéricos” en sus análisis periódicos de seguridad. Talos comprobó que dicho software tenía un comportamiento muy similar al de cualquier otro malware, y análisis posteriores dieron como resultado además que estaba instalado en aproximadamente 12 millones de ordenadores, con derechos de administrador. Esto quiere decir que el programa era capaz de recolectar información personal e instalar otros programas o lanzar ejecutables sin conocimiento del usuario – y bajo control total de un tercero.

La investigación de Talos

La filial de Cisco especializada en seguridad inició entonces una investigación a fondode estos ejecutables, usando para ello una muestra de unos 7.000 ficheros, y empezando por una curiosa coincidencia: todos ellos tenían la palabra “wizz” en su nombre (wizzupdater.exe, wizzremote.exe, wizzInstaller.exe, wizzByPass.exe…), y apuntaban a los mismos dominios.

A continuación los investigadores sometieron los ejecutables a diversos análisis, descubriendo así su capacidad para detectar las medidas de seguridad presentes en el PC y así asegurarse de que podía funcionar de forma efectiva y sin ser descubierto – una característica propia del malware.

Verificación

Las pruebas revelaron, entre otras cosas, que los ejecutables contenían infecciones paramúltiples países (Estados Unidos, Australia, Japón, España, Francia, Nueva Zelanda y Reino Unido), y que tenían conexiones con un adware llamado OneSoftPerDay, propiedad de Tuto4PC, un desarrollador francés de software. Una vez instalado en el PC de la víctima, este adware era capaz de instalar y ejecutar programas sin permiso del usuario (como System Healer), y engañarle para hacerle creer que su ordenador estaba infectado – y que para arreglarlo era necesario pagar, claro. Un vistazo más exhaustivo permitió también descubrir la capacidad de los ejecutables de abrir backdoors o puertas traseras en el ordenador de la víctima.

Lo curioso, comentan desde Talos en su análisis, es que las comunicaciones entre el adware y el servidor con el que se conectaba estaban cifradas con AES256, pero sus creadores usaron una técnica de cifrado explicada en un foro de MSDN, con las mismas claves.

De esta forma, los investigadores de Talos sólo tuvieron que ir al foro de MSDN y copiar las claves para descifrar las comunicaciones. “Con tanto tiempo como pasaron en técnicas anti-sandbox y anti-análisis, los autores no parece que le dedicaran tanto tiempo y esfuerzo al cifrado, y simplemente copiaron y pegaron las claves de un blog de MSDN”, comenta Talos en su análisis.

Capas de seguridad

La respuesta de Tuto4PC

El resultado de la investigación, finalmente, apunta al desarrollador francés Tuto4PCcomo responsable de la autoría y distribución de estos troyanos, capaces de abrir puertas traseras en todos aquellos ordenadores donde hayan sido instalados. “Basándonos en el estudio, creemos que es un caso obvio de software backdoor“, concluye el artículo de Cisco Talos. “Como mínimo, es un programa potencialmente no deseado (PUP)”.

No es la primera vez que esta compañía ha sido acusada de actividades sospechosas; en los últimos cuatro años, las autoridades francesas les han advertido sobre la instalación de software sin el consentimiento previo de los usuarios, pero hasta ahora han podido evitar multas u otras consecuencias peores.

La situación ante esta nueva acusación podría ser diferente, aunque Tuto4PC se ha apresurado a defenderse de las acusaciones de Cisco. En un comunicado enviado aSecurity Week, el CEO de la empresa, Franck Rosset, afirma: “El post de Talos se equivoca al describir Tuto4PC como una empresa de distribución de malware. Estamos trabajando con nuestros abogados para evaluar qué acción tomaremos en contra de la imagen incorrecta y negativa que Talos ha dado de nuestro negocio […] Desde 2004 nuestro modelo de negocio es crear widgets y tutoriales para descarga gratuita, sujeta al acuerdo de aceptar la publicidad de un adware incluido en la descarga. Pero al contrario de los argumentos de Talos, nuestro negocio ha sido aprobado por las autoridades francesas y nunca hemos sido demandados por distribuir malware”.

Fuente:https://www.genbeta.com/